Microsoft が libwebp/libvpx の脆弱性に対応:Edge/Teams などを緊急アップデート

Microsoft Edge, Teams get fixes for zero-days in open-source libraries

2023/10/03 BleepingComputer — Microsoft は、Edge/Teams/Skype 向けの緊急セキュリティ更新プログラムをリリースし、それらの3製品で使用されている OSS ライブラリに存在する、2件ゼロデイ脆弱性を修正した。1つ目の脆弱性 CVE-2023-4863 は、WebP コード・ライブラリ (libwebp) のヒープバッファ・オーバーフローに起因するものであり、悪用されるとクラッシュや任意のコード実行にいたる恐れがある。2つ目の脆弱性 CVE-2023-5217 は、libvpx ビデオコーデック・ライブラリの VP8 エンコーディング機能に存在するヒープバッファ・オーバーフローに起因するものであり、悪用されるとアプリ・クラッシュや任意のコード実行にいたる。


libwebp ライブラリは、多数のプロジェクトにおいて、WebP フォーマットで画像をエンコード/デコードするために使用されている。例を挙げると、Safari/Mozilla Firefox/Microsoft Edge/Opera/Android などの最新の Web ブラウザや、1Password/Signal などの一般的なアプリで使用されている。

libvpx は、デスクトップ・ビデオプレーヤーや、Netflix/YouTube/Amazon Prime Video オンライン・ストリーミングにおける、VP8/VP9 ビデオ・エンコード/デコードに使用されている。

Microsoft の Security Response Center アドバイザリには、「OSS に存在する、2つの脆弱性 CVE-2023-4863/CVE-2023-5217 に対してパッチをリリースした。具体的に言うと、Microsoft Edge/Microsoft Teams for Desktop/Skype for Desktop/Webp Image Extensions に対しては、CVE-2023-4863 用のパッチが、Microsoft Edge に対しては、CVE-2023-5217 用のパッチが適用される」と記されている。

Microsoft Store は、影響を受ける全ての Webp Image Extensions ユーザーに対して自動アップデートを提供する。ただし、Microsoft Store の自動更新が無効になっている場合には、セキュリティ更新プログラムはインストールされない。

スパイウェア攻撃に悪用される

この2件の脆弱性が、今月の初めに公表された際には、悪用のタグが付けられていたが、攻撃に関する詳細は不明とされていた。

しかし、これらのバグは、Apple Security Engineering and Architecture (SEAR)/Google Threat Analysis Group (TAG)/Citizen Lab により報告されている。また、TAG と Citizen のチームは、標的型スパイウェア攻撃に悪用されるゼロデイを、発見/公開してきた実績がある。

Google は、「脆弱性 CVE-2023-4863 が積極的に悪用されている。ただし、このバグの詳細やリンクへのアクセスは、大多数のユーザーが修正プログラムでアップデートされるまで制限される可能性がある。他のプロジェクトが同様に依存している場合や、修正されていないサードパーティのライブラリにバグが存在する場合にも、情報の提供は制限される」と述べている。

Google は、libwebp のセキュリティ脆弱性に対して、CVE-2023-5129 を再割当てし、最大重大度バグとしてタグ付けしたことで、サイバーセキュリティ・コミュニティーに混乱を招いた。

Google の広報担当者はコメントを求めたが、返答はなかった。また、新しく割り当てられた CVE-2023-5129 は、CVE-2023-4863 と重複するとして、その後に MITRE により拒否された。

更新: CVE-2023-5217 と Predator スパイウェア攻撃との間の、誤ったリンクを削除するため、記事を修正した。

この libwebp の脆弱性 CVE-2023-4863 は、Chromium に影響を及ぼすものだったのですね。今後、いろんなところでアップデートが行われるはずです。なお、2023/09/27 にポストした「libwebp の脆弱性 CVE-2023-5129 は危険:iMessage ゼロクリック攻撃の原因?」で、タイトルに入れてしまった CVE-2023-5129 は、Google の間違いだったと分かり、モヤモヤ感がなくなってよかったです。